PPT中一些理念:
(1)深度防御。在进入前有多个安全边界,进入和出去一样严格管理。使用IDS来协防,不要过分依赖防火墙和包过滤。
(2)对系统和应用程序进行审计。
(3)进行全员安全培训。
  一些安全技术:
  (1) mysql中过滤:
$sql = sprintf(“SELECT something FROM table WHERE name=‘%s’ AND age>%d”, mysql_real_escape_string($foo), $bar)
  (2)不要使用gpc_magic_quotes
(3)使用mysql_real_escape_string() 来过滤字符串
(4)使用htmlentities()和ENT_QUOTES来过滤xss,例如
<?=htmlentities($foo,ENT_QUOTES);?>
一些资源:
Crucial Security - 
http://www.crucialsecurity.com
Google Hacking -  http://johnny.ihackstuff.com
OWASP -  http://www.owasp.org